用KV2008有效防U盘病毒

caobin

最近一款U盘病毒修改替换包括dllcache目录下的系统Shell文件（explorer.exe）以及注册表编辑器（regedit.exe），劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示：


修改REG文件关联到： %systemroot%\pchealth\Global.exe
利用劫持阻止以下程序运行：


各个盘符下的autorun.inf以及MS-DOS.com
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果：
[img]http://tech.ccidnet.com/col/attachment/2008/6/1520749.jpg
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。为防止该病毒修改了注册表编辑器打开“江民设置程序”=》“主动防御”=》“系统监控”中单击高级选项进入高级选项后勾选“严模式”如图所示：


为更好的防御该病毒的入侵最好设置“移动设备存储控制”功能，江民对毒病毒真的很有一套，“移动设备存储控制”功能主要是为对付U盘病毒设计的，当用户插入U盘时会首先进行拦截，只有当用户输入正确的口令才可以继续对U盘进行操作，这样就可以防止病毒侵入了，不仅如此，此功能还可以为你的电脑保密，为什么这么说呢？我们知道电脑上的文件很容易被小小的U盘带走，如果当你不在时，别人可以很轻易将你电脑上的资料（商业机秘，个人隐私）拿走，后果不堪设想，OK，现在有了KV2008，只要开启“移动存储控制功能”，并且设置一个口令，我们就可以为我们的移动存储设备加个锁，这样既可以防病毒又可以保护资料，何乐而不为呢？



如何开启移动存储控制功能？不要着急，慢慢跟我来，我们打开江民杀毒软件主界面，单击“工具”－“设置”，在“江民设置程序”中选择“保护密码”，我们勾选“移动设备存储”选项，并且一定要注意勾选“修改密码/设置密码”选项否则不会生效，然后设置好访问U盘的密码，单击“确定”，重新启动计算机，大功告成～

军装男

嘿嘿，看看这个哦，嘿嘿，又是金山的介绍。

caobin

进入此功能总共有两个方法：
1.右键点击桌面"杀毒软件"图标－》点安全助手
2.打开杀毒软件界面－》系统安全－》安全助手/流氓软件清除都可以进入安全助手流氓软件清除功能的界面。
界面如下:

点一下"检测列表"会检测出机器里面所有的流氓软件，如图:

勾选上之后，点“清理”，下图显示清理成功。

但是建议之前先进行系统清理，之后用插件管理清理一些没用的插件和流氓软件的插件。


"自定义删除功能"是对于水平较高的用户提供的，如果想删除注册表的项和键值，点一下界面上的注册表会弹出


比如我们要删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\123这个项，我们就在对话框里面输入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\123点确定之后会进入自定义删除的列表；我们如果要删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的12键值，先把下拉菜单改成注册表键值并且在对话框输入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\12点确定。
这样自定义删除界面里面会出现下图

选上之后点"清理"，对于确实存在的注册表会提示"清理成功"，对于那个路径没有这个项或者键值就会提示"不存在"。

"插件管理"是对系统的插件进行启用，禁用和清理的操作。


从以上界面可以看到各个插件，如果想清理其中的插件，勾选之后点“清理”就可以；想禁用某个插件操作类似，选上点“禁用”即可，想重新启用就点“启用”即可。


    “插件免疫功能”是对里面的插件进行免疫，建议把所有组件进行全选之后点免疫。
    “系统清理功能”是对那些清理项进行一部分或者所有的清理项进行清理，建议定期使用此操作进行清理，尤其是缓存的网页文件，cookie和临时文件都需要经常清理。
    “地址栏清理”和“密码记录清理”就是清理地址栏的浏览记录以及登陆某网站用的账号密码的记录，都是可以进行选择进行清理的。

    “系统漏洞检查”可以对系统漏洞以及用户弱口令进行检查。
    “系统漏洞补丁”是WINDOWS操作系统的补丁，如果出现异常情况的话是与江民软件无关的。
    “启动项管理”是对启动项和服务以及驱动进行管理。

默认的是隐藏微软签名项，在这里可以对可疑的启动项、服务和驱动进行删除操作，但是操作有一些风险，请大家慎用。个人认为系统诊断里面的相关功能比较明显，里面是有颜色区分，比如说可疑的和文件不存在的都有区分。（系统诊断功能目前不做讲解，会在后期进行详细说明）

    “进程管理”可以察看目前正在运行的进程，并且可以看有什么文件插入进程，这样对于病毒分析也是很有帮助。（系统诊断功能是不能看有什么文件插入进程，但是可以用颜色区分出来隐藏进程）


“系统修复功能”是把以前2007的系统修复功能、文件关联、LSP协议关联集于一身。默认的是只显示异常项，直接选上点修复就可以了。

caobin

先说一下该病毒的相关技术分析；

    病毒名称：Trojan/Agent.pgz
    中 文 名：机器狗
    病毒类型：木马
    危害等级：★★★
    影响平台：Win 9X/ME/NT/2000/XP/2003

    病毒运行特征：
    “机器狗”病毒运行后，会在%WinDir%\System32\drivers 目录下释放出一个名为pcihdd.sys 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡失效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和多个应用软件漏洞，从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。机器狗木马图：

该病毒还会随着ARP病毒传播，因此对局域网杀伤性极大。如何防范或是判断自已的电脑是否感染上此病毒呢？我们可打开%WinDir%\System32\drivers，在目录下查找是否有一个名为pcihdd.sys的驱动程序，如果没有查到话，可以说自已的电脑还没有感染上该病毒。



对于未感染上此病毒的用户来说应如何防范是一件头等大事，对于未感染上此病毒并未安装江民KV2008杀毒软件的用户来说，可以通过下载“机器狗”病毒免疫程序对电脑进行免疫，避免遭受机器狗病毒的侵害。江民机器狗病毒免疫程序下载：


    对于未感染上此病毒并且安装了江民KV2008杀毒软件的用户来说，首先江民杀毒设置程序中的漏洞检查应设置为自动检查，如图二：

其升级设置可采取自动升级方式，检测到更新后即时升级。

联入互联网时可确保打开“网页监控”、“邮件监控”功能

最后，在“设置”的“保护密码”中勾选“受保护的操作”中的“移动设备存储”，

以后对任何移动设备存储器的操作前都必须输入保护密码后才能对其进行操作了。

最重要的是在登录网游账号、网络银行账户时应采用软键盘输入账号及密码。在这里举中国银行个人网上银行和QQ的例子。

caobin

进程查看器: 用户可以通过普通操作台，点击→系统安全→进程查看器；或通过桌面图标右键菜单，点击进程查看器即可打开界面。注意：进程查看器是每隔五秒刷新一次，因此用户看进程查看器有时会有闪动，这个无须惊讶。


　　在这里可查看系统的所有进程包括隐藏的进程，这对查找病毒来说无疑是一个有力的工具，因为许多流行病毒都是隐藏自己的进程来躲避查找，单靠系统自带的任务管理器无法查看和结束掉可疑、病毒文件。使用KV2008的进程查看器则可以轻而易举的查看到隐身进程，还会以高亮颜色的提示表明隐藏的进程，并且在窗口的顶部会提示隐藏进程的数量。
1.首先启动进程查看器主窗口。如图

2.在“进程列表”里的右键菜单，右击进程我们可以看到右键菜单里的一些选项。
2.1结束进程：选中想要结束的进程，点击窗口下方的结束进程按钮即可，或者右击要结束的进程，选择结束即可，这与点击窗口下方的结束进程按钮的效果是相同的。

2.2.结束进程并加入黑名单：选择该选项可将选中的进程结束掉并且将该进程加入到黑名单中，这样可以禁止该进程的再次运行。


    如果误操作导致进程不能正常打开用户通过普通操作台，点击→工具→设置→菜单中的→黑名单管理→修改→黑名单，可以查看到该进程已经被添加进去了，如果发现失误地添加了正常的进程，可以通过右键点击该进程选择移到白名单即可。

2.3.模块列表：在这里可以查看该进程中被调入的文件模块，在这里我们可以释放掉选中的模块，还有转储内存，转存该文件在内存中的单元文件信息

在这里如果我们勾上“隐藏标记为Microsoft模块” 意思就是该列表将不显示Microsoft的文件，这样方便我们查看其它文件

2.4.线程列表：在这里可以查看线程标识和在内存中的起始地址


2.5.文件列表：在这里我们如果右击选中的是文件时，可以看到“刷新”“关闭文件”删除文件“转到文件夹”“属性”这些选项。
如果右击的是一个文件夹呢，我们看以看到“刷新”“关闭文件”“转到文件夹”“属性”
可以查看进程已经打开的文件夹，查看进程中插入的模块，在这里我们选中需要操作的选项即可。看图




2.6.不显示标记的信任进程：勾选这个选项后自己标记的信任标记不在显示，注意看图星号标记取消



2.7.标记为信任进程（仅方便查看）：点击自己认为是可信的进程右击选中这样可以方便我们识别安全进程和自己定义的信任进程，方便查看，看图



2.8.标记安全进程为信任进程（仅方便查看）：勾选中这个选项后所有安全进程标注星号，方便查看

2.9.查看网络链接：右击有网络活动的进程时会出现“查看网络链接”这个选项，点击这个选项会自动跳转到网络连接选项卡页面，您可以在那里看到详细进程联网状况，并且以高对比度显示刚才在“进程查看器”里点击的进程。




2.10.转到文件夹：点击这个选项后，会打开你选中进程所在文件夹。


2.11.属性：点击即可查看该进程文件属性状况，从属性中能看到一些可疑的信息，比如创建时间，版本号，公司名称，等等..